控制 Tableau Mobile 的身份验证和访问权限
支持的身份验证方法
Tableau Server
Tableau Mobile 支持以下 Tableau Server 身份验证方法。
方法 | Tableau Mobile 的注意事项 |
---|---|
本地(基本)身份验证 | |
Kerberos |
|
SAML | |
NTLM | |
相互 SSL |
|
OpenID Connect |
|
有关配置这些方法的信息,请参见适用于 Windows(链接在新窗口中打开) 和 Linux(链接在新窗口中打开) 的 Tableau Server 帮助。
Tableau Cloud
Tableau Mobile 支持 Tableau Cloud 的所有三种身份验证方法。
- 默认 Tableau 方法
- Google,通过 OpenID Connect(必须启用使用设备浏览器登录)
- SAML
有关配置这些方法的信息,请参见 Tableau Cloud 帮助中的身份验证(链接在新窗口中打开)。
使用设备浏览器进行身份验证
OpenID Connect(包括 Google)和相互 SSL 身份验证使用移动设备的浏览器(Safari、Chrome)进行。浏览器和 Tableau Mobile 之间的交换通过 Oauth 代码交换证明密钥(链接在新窗口中打开) (PKCE) 保护。
要进行此身份验证,您必须按照以下说明启用“使用设备浏览器登录”设置。此要求的一个例外是 Android 上的相互 SSL 身份验证,后者无需更改配置。
Tableau Server(版本 2019.4 或更高版本)
如果您使用 MDM 或 MAM 系统,请将 AppConfig 参数 RequireSignInWithDeviceBrowser 设置为 true。或者,Tableau Server 用户可以在其单独的设备上启用“使用设备浏览器登录”设置。AppConfig 参数将覆盖用户设置。
Tableau Cloud
将 AppConfig 参数 RequireSignInWithDeviceBrowser 设置为 true。若要设置 AppConfig 参数,您需要使用 MDM 或 MAM 系统部署应用软件。用户设置对 Tableau Cloud 没有影响,因此,如果您不使用 MDM 或 MAM 系统,您将无法允许 Google 身份验证。
覆盖用于身份验证的默认浏览器
当您将 Tableau Mobile 配置为使用浏览器进行身份验证时,它会使用设备的默认浏览器:适用于 iOS 的 Safari 和适用于 Android 的 Chrome。若要为 Microsoft Intune 启用条件访问,您必须将 Tableau Mobile 配置为改为使用 Microsoft Edge 进行身份验证。这需要两个 AppConfig 参数:
- 将
RequireSignInWithDeviceBrowser
设置为true
,以便 Tableau Mobile 使用浏览器进行身份验证。 - 将
OverrideDeviceBrowser
设置为Edge
,将用于身份验证的浏览器从设备默认值更改为 Microsoft Edge。如果您在不要求使用浏览器登录的情况下更改此参数,则不会有任何效果。有关详细信息,请参见 Tableau Mobile 的 AppConfig 参数。
除了为 Tableau Mobile 设置 AppConfig 参数外,还按如下方式配置您的 Microsoft Intune 环境:
- 如果使用 Azure App Proxy,它必须使用直通作为其预身份验证方法。
- 身份验证方法必须是 SAML 或 OpenID。
- 身份提供程序必须是 Azure Active Directory。
暂时使用户保持登录状态
若要暂时使 Tableau Mobile 用户保持登状态录,请确保已为 Tableau Cloud 或 Tableau Server 启用连接的客户端。如果禁用此默认设置,则用户每次连接到服务器时都需要登录。
针对 Tableau Cloud 验证连接的客户端设置
- 以管理员身份登录到 Tableau Cloud。
- 选择“设置”,然后选择“身份验证”选项卡。
- 在“连接的客户端”下面,注意“允许客户端自动连接到此 Tableau Cloud 站点”设置。
有关详细信息,请参见 Tableau Cloud 帮助中的从连接的客户端中访问站点。
针对 Tableau Server 验证连接的客户端设置
- 以管理员身份登录到 Tableau Server。
- 在站点菜单中,选择“管理所有站点”,然后选择“设置”>“常规”。
- 在“连接的客户端”下,注意“允许客户端自动连接到 Tableau Server”设置。
有关详细信息,请参见 Tableau Server 帮助中的禁用自动客户端身份验证。
更改用户保持登录到 Tableau Server 的时间长度
未启用连接的客户端设置时,Tableau Mobile 上的会话长度由 Tableau Server 限制控制。启用连接的客户端设置后,只要令牌有效,Tableau Mobile 将使用 OAuth 令牌重新建立会话并保持用户登录。
更改连接客户端的令牌值
为了使用户保持登录,Tableau Mobile 会将一个刷新令牌发送到身份验证系统,后者随后会向移动设备提供新的访问令牌。您可以通过调整刷新令牌的设置来更改用户保持登录的时间长度。
在 Tableau 服务管理器的命令行界面中,设置以下选项:
- refresh_token.idle_expiry_in_seconds
设置令牌在过期之前可处于未使用状态的秒数。默认值 1,209,600 秒相当于 14 天。输入值 -1 以使空闲令牌永远不会过期。
- refresh_token.absolute_expiry_in_seconds
设置刷新令牌完全过期之前的秒数。默认值 31,536,000 相当于 365 天。输入值 -1 以使令牌永远不会过期。
- refresh_token.max_count_per_user
设置可以为每个用户颁发的刷新令牌的最大数量。默认值为 24。输入值 -1 以完全移除令牌限制。
若要设置上述选项,请在命令行界面中使用以下语法:
tsm configuration set -k <config.key> -v <config_value>
。
例如,若要将刷新令牌的数量限制为每名用户 5 个,您可以输入以下内容:
tsm configuration set -k <refresh_token.max_count_per_user> -v <5>
有关详细信息,请参见 Tableau Server 帮助中的 TSM configuration set 选项(链接在新窗口中打开)。
更改 Tableau Server 的会话限制
如果禁用连接的客户端,Tableau Server 的会话限制将确定 Tableau Mobile 上的会话长度。这些限制不会影响连接的客户端,因为只要令牌有效,刷新令牌就会重新建立会话。有关详细信息,请参见 Tableau Server 帮助中的验证会话生命周期配置。
在 Tableau 服务管理器的命令行界面中,设置以下选项:
设置 Tableau 会话过期之前的分钟数,同样要求登录。默认值为 240。
启用应用软件锁定以增强安全性
长期存在的身份验证令牌允许用户保持登录状态,使用户能顺利地访问数据。但是,您可能担心 Tableau Mobile 中这种对数据的开放式访问。您可以启用应用软件锁定,为用户提供安全而简单的内容访问方式,而不是要求用户更频繁地登录。
Tableau Mobile 的应用软件锁定不会向 Tableau Server 或 Tableau Cloud 验证用户的身份;相反,它为已登录的用户提供了一层安全性。启用应用软件锁定后,用户必须使用他们为解锁设备而配置的安全方法打开应用。支持的生物识别方法包括面容 ID 或触摸 ID (iOS) 以及指纹、面容或虹膜 (Android)。支持的替代方法包括密码 (iOS) 和图案、pin 码或者密码 (Android)。
启用应用软件锁定之前
确保启用了 Tableau Server 或 Tableau Cloud 的“连接的客户端”设置。有关详细信息,请参见暂时使用户保持登录状态。如果未启用此设置,则用户每次连接到 Tableau Server 或 Tableau Cloud 时都需要登录,因此无需应用软件锁定。
对于 Tableau Server,您可以通过调整刷新令牌的过期值来精确控制用户保持登录状态的时间。有关详细信息,请参见更改用户保持登录到 Tableau Server 的时间长度。应用软件锁定用于长期存在的令牌,例如使用默认过期值的令牌。
注意:如果您的 Tableau Server 安装使用反向代理服务器,请注意您的用户可能需要在解锁应用软件时登录。这是因为它们的反向代理令牌已过期,但其刷新令牌仍处于活动状态。
启用应用软件锁定设置
对于 Tableau Cloud
- 以管理员身份登录到 Tableau Cloud。
- 选择“设置”,然后选择“身份验证”选项卡。
- 在“Tableau Mobile 的应用软件锁定”下,检查“启用应用软件锁定”设置。
对于 Tableau Server 版本 2019.4 及更高版本
- 以管理员身份登录到 Tableau Server。
- 导航到要为其启用应用软件锁定的站点。
- 选择“设置”。
- 在“Tableau Mobile”下,检查“启用应用软件锁定”设置。
对于 Tableau Server 版本 2019.3 及更低版本
用于启用应用软件锁定的设置不适用于 Tableau Server 版本 2019.3 及更低版本;不过,您仍可以使用 MDM 和 MAM 系统的 AppConfig 参数启用应用软件锁定。请参见AppConfig 键中的“RequireAppLock”。
用户启用的应用软件锁定
用户还可以通过应用软件内的设置为其设备单独启用应用软件锁定。但是,如果管理员启用了应用软件锁定,则用户无法通过此设置将其禁用。
启用应用软件锁定后
启用应用软件锁定后,已登录用户在打开应用软件时需要将其解锁。如果用户尚未设置解锁其设备的方法,系统将提示他们执行此操作来解锁应用软件。
如果用户无法解锁应用软件,他们将可以选择重试或注销 Tableau。如果用户在使用生物识别方法进行了五次尝试后未能解锁应用软件,或者他们的设备未针对生物识别进行配置,则系统将提示他们使用密码等替代方法进行解锁。
使用密码解锁应用软件反复失败将导致用户无法访问整台设备,而不仅仅是应用软件。发生此情况之前的尝试次数取决于设备。解锁设备的进一步尝试会因时间的增加而延迟。
Tableau Mobile 单点登录
对于单点登录 (SSO) 身份验证,Tableau Mobile 支持为所有移动平台使用 SAML 和 OpenID Connect,并支持为 iOS 设备使用 Kerberos。
SAML
如果 Tableau Cloud 或 Tableau Server 配置为使用 SAML,则会将用户自动重定向到身份提供程序 (IdP) 以在 Tableau Mobile 内登录。但是,SAML 不会使用 SSO 将凭据传递至其他移动应用。SAML 不需要对移动设备进行特殊配置,使用 Microsoft Intune 的设备除外。若要为 Microsoft Intune 启用 SAML,请参见覆盖用于身份验证的默认浏览器。
OpenID Connect
如果 Tableau Server 配置为使用 OpenID Connect 进行身份验证,或者如果 Tableau Cloud 配置为使用 Google(通过 OpenID Connect),则使用移动设备的浏览器通过外部标识提供 (IdP) 进行单一登录。若要启用使用浏览器的 SSO,请参见使用设备浏览器进行身份验证。若要专门为 Microsoft Intune 启用 OpenID Connect,请参见覆盖用于身份验证的默认浏览器。
Kerberos(仅限 iOS 和 Tableau Server)
若要使用 Kerberos 身份验证,必须专门为您的组织配置设备。Kerberos 配置已经超出了本文档和 Tableau 支持的范围,但这里有一些第三方资源可帮助您开始进行操作。
Sam 的 Tech Notes 博客上的 Kerberos Single Sign-on for iOS(适用于 iOS 上 Kerberos 单点登录)(链接在新窗口中打开)。
SAP Community Network 上的 Mobile Single Sign On from iOS to SAP NetWeaver(通过移动单点登录从 iOS 登录到 SAP NetWeaver(链接在新窗口中打开))
iOS Developer Library 中的 Configuration Profile Key Reference(配置文件键首选项)(链接在新窗口中打开)
在设置配置文件时,您将需要用于访问 Tableau 服务器的 URL。对于 URLPrefixMatches 项,如果您决定显式列出 URL 字符串,请包括带有所有协议选项及适当端口号的 URL。
如果服务器使用 SSL,则 URL 应使用 https 协议和服务器的完全限定域名。其中一个 URL 还应指定端口 443。
例如:
https://fully.qualifed.domain.name:443/
和https://servername.fully.qualified.domain.name/
如果用户只通过指定本地服务器名称来访问 Tableau 服务器,则您还应该包括那些变化形式。
例如,输入
http://servername/
和http://servername:80/
注意:注销不会清除设备上的 Kerberos 票证。如果存储的 Kerberos 票证仍然有效,则使用设备的任何人无需提供凭据就可以访问用户上次登录的服务器和站点。